Verwenden eines AWS Secrets Manager VPC-Endpunkts - AWS Secrets Manager
Erstellen einer EndpunktrichtlinieGemeinsam genutzte Subnetze

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden eines AWS Secrets Manager VPC-Endpunkts

Wir empfehlen, einen Großteil der Infrastruktur in privaten Netzwerken auszuführen, die vom öffentlichen Internet aus nicht zugänglich sind, sofern dies möglich ist. Sie können eine private Verbindung zwischen Ihrer VPC und Secrets Manager herstellen, indem Sie einen Schnittstellen-VPC-Endpunkt erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben AWS PrivateLink, die es Ihnen ermöglicht, privat auf Secrets Manager zuzugreifen, APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Secrets Manager APIs zu kommunizieren. Der Verkehr zwischen Ihrer VPC und Secrets Manager verlässt das AWS Netzwerk nicht. Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Wenn Secrets Manager ein Secret mithilfe einer Lambda-Rotationsfunktion rotiert, beispielsweise ein Secret, das Datenbankanmeldeinformationen enthält, stellt die Lambda-Funktion Anfragen sowohl an die Datenbank als auch an Secrets Manager. Wenn Sie die automatische Rotation in der Konsole aktivieren, erstellt Secrets Manager die Lambda-Funktion in derselben VPC wie Ihre Datenbank. Wir empfehlen Ihnen, einen Secrets-Manager-Endpunkt in derselben VPC zu erstellen, damit Anfragen von der Lambda-Rotationsfunktion an Secrets Manager das Amazon-Netzwerk nicht verlassen.

Wenn Sie einen privaten DNS für den Endpunkt aktivieren, können Sie mittels seines standardmäßigen DNS-Namen für die Region, beispielsweise secretsmanager.us-east-1.amazonaws.com, API-Anforderungen an Secrets Manager senden. Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Sie können sicherstellen, dass Anforderungen an Secrets Manager von der VPC stammen, indem Sie eine Bedingung in Ihre Berechtigungsrichtlinien aufnehmen. Weitere Informationen finden Sie unter Beispiel: Berechtigungen und VPCs.

Sie können AWS CloudTrail Protokolle verwenden, um Ihre Verwendung von Geheimnissen über den VPC-Endpunkt zu überprüfen.

So erstellen Sie einen privaten Secrets-Manager-VPC-Endpunkt

  1. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im Amazon VPC-Benutzerhandbuch. Verwenden Sie einen der folgenden Servicenamen:

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. Informationen zur Steuerung des Zugriffs auf den Endpoint finden Sie unter Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien.

  3. Informationen zur Verwendung von IPv6 Dual-Stack-Adressierung finden Sie unter. IPv4 und Zugriff IPv6

Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Secrets Manager über den Schnittstellenendpunkt. Um den Zugriff auf Secrets Manager von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:

  • Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Services mit Endpunktrichtlinien im AWS PrivateLink -Leitfaden.

Beispiel: VPC-Endpunktrichtlinie für Secrets Manager Manager-Aktionen

Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie Zugriff auf die aufgelisteten Secrets Manager Manager-Aktionen für das angegebene Geheimnis.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

Gemeinsam genutzte Subnetze

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Informationen zur VPC-Freigabe finden Sie unter Freigeben Ihrer VPC für andere Konten im Benutzerhandbuch für Amazon Virtual Private Cloud.